Schönes neues Web 3.0: Metamask sammelt eure Daten
Der Fuchs schaut zu! Bild von Peter Trimming via flickr.com. Lizenz: Creative Commons
Die beliebte Web3-Wallet Metamask verbindet die User automatisch mit einem Blockchain-Server von Infura. Der speichert nicht nur eure Ethereum-Adressen, auch eure IP-Adressen. Für den Datenschutz ist das ein Totalausfall. Zum Glück könnt ihr euch wehren!
Hach, wäre es nicht schön, wenn wir ein Internet hätten, in denen nicht länger Daten die Währung wären, sondern echtes Geld, so dass die Plattformen nicht länger eure Daten verkaufen müssten? Genau dieses schöne neue Netz soll das Web3, das auf Smart Contracts von Ethereum und anderen Blockchains aufbaut, verwirklichen.
Doch die Sache mit dem Datenschutz sieht unterm Tageslicht nicht so rosig aus wie angekündigt. Etwa wenn man die Wallet MetaMask benutzt, was fast jeder macht. MetaMask ist eine tolle Wallet, entweder als App fürs Smartphone oder Plugin für den Browser, die es jedem verblüffend einfach macht, mit den Smart Contracts auf Blockchains wie Ethereum oder Polygon zu arbeiten. Es ist einfacher, mit MetaMask Token zu wechseln oder ein Darlehen aufzunehmen, als mit Lightning Geld zu versenden.
Das Problem ist – MetaMask wird in Sachen Datenschutz ziemlich übergriffig.
Die wichtigste Regel
Um das zu erklären, muss ich ein Stück ausholen. Die wenigsten User benutzen Ethereum direkt, also durch einen Full Node. Das ist ziemlich aufwändig und auch teuer. Stattdessen verwenden die meisten eine Wallet, die zwischen User und Full Node steht. Etwa MetaMask. Wenn man sie als Plugin installiert, macht sie den Browser quasi Web3-fähig.
MetaMask wird von ConsenSys herausgeben. Standardmäßig verbindet sich die Browser-Wallet mit einem Node des Infura-Netzwerkes, der das Bindeglied zwischen Wallet und Blockchain bildet, und von, ihr fürchtet es, ebenfalls ConsenSys betrieben wird. Wallet und Node werden also unter dem selben Dach herausgegeben, und wie zu erwarten verursacht das Probleme.
In der Datenschutzerklärung von ConsenSys, die am 23. November aktualisiert wurde, ist nun das folgende zu lesen: “MetaMask und Infura sind beide Produkte des Unternehmens und Infura ist der standardmäßige Remote Procedure Call (RPC) Anbieter für MetaMask. Wenn Sie Infura als Standard-RPC-Anbieter in MetaMask nutzen, wird Infura Ihre IP-Adressen und ihre Ethereum-Wallet-Adressen sammeln, wenn Sie eine Transaktion senden.”
Das klingt harmlos, verletzt aber die eine, die wichtige Regeln für den Datenschutz: Verbinde niemals Blockchain- und IP-Adresse. Wenn diese beiden verbunden sind, verknüpft das euren Account auf der Blockchain mit eurer echten Identität und eurem echten, physischen Wohnort. Ein Leak der Datenbank, in der diese Informationen gespeichert werden, kann verheerend sein: Ein Krimineller könnte erfahren, wie viele Coins du besitzt – und wo du wohnst.
Daher ist das die wichtigste Grundregel: Man soll niemals die Blockchain-Adresse mit der IP-Adresse verbinden. NIEMALS!
ConsenSys bricht diese Regel nun. Und das vermutlich nicht nur, wenn man eine Transaktion sendet, wie es in der Datenschutzerklärung heißt – sondern eventuell auch schon, wenn man die Wallet öffnet. Denn MetaMask sendet sämtliche Adressen der Wallet an Infura, um die Guthaben der Accounts abzufragen. Aus Sicht des Users ist das praktisch – aus Sicht des Datenschutzes verheerend.
Nichts hat sich verändert
Es folgte natürlich ein Aufschrei der Community in den sozialen Netzwerken. ConsenSys stellte kurz danach klar, wie es gemeint war und was man mit den Daten mache.
Grundsätzlich habe sich nichts geändert. Die Praxis bleibe dieselbe – das Kind ist also schon lange in den Brunnen gefallen – man nenne sie nun nur beim Namen: “Wir glauben an Transparenz und wollen sicherstellen, dass alle User wissen, welche Informationen wir sammeln und wofür wir sie nutzen.” Das Update der Datenschutzerklärung führe zu keiner zudringlicheren Datensammlung oder -Verarbeitung, und es sei nicht gemacht worden, um auf regulatorische Änderungen oder Anfragen zu reagieren.
“Unsere Richtlinien bestimmten schon immer, dass gewisse Informationen automatich gesammelt werden, wenn ein User unsere Seiten benutzt, und dass diese Informationen IP-Adressen beinhalten können. Wenn die User mit Etheruem oder anderen Blockchains interagieren – etwa wenn sie eine Transaktion senden oder ein Guthaben abfragen – und dabei über RPC-Anbieter wie Infura gehen, erhält dieser Provider sowohl die IP-Adresse des Users als auch seine Wallet-Adresse, um den Service auszuführen. Das ist nicht spezifisch für Infura, sondern damit konsistent, wie die generelle Internet-Architektur arbeitet, auch wenn wir weiterhin danach streben, technische Lösungen zu finden, die den Effekt minimieren, etwa durch Anonymisierungstechniken.”
Das ist vermutlich beruhigend gemeint. Aber ernsthaft – wie sollte es das sein? Infura sammelt die Daten schon lange. Das ist noch viel beunruhigender.
Dass die Server die Adressen brauchen, um eine Dienstleistung zu erbringen, ist nachvollziehbar. Aber warum speichern sie sie? Warum löschen sie sie nicht?
Und, die wichtigste Frage: Kann man sich als User dagegen wehren? Wenn ja, wie?
Für Bequeme: Alternative RPC-Endpunkte
Die gute Nachricht ist, dass das Web3 mehr ist als ein neues PayPal oder Amazon. Die Architektur ist offen. Es gibt zwar keine Garantie, dass es keine schwarzen Schafe gibt, aber man hat die Wahl, den Anbieter zu wechseln. Das unterscheidet das Web3 vom klassischen Netz, in dem Kolosse wie PayPal geschlossene Systeme bilden. Wer PayPal oder Amazon entfliehen will, muss das Zahlungsnetzwerk oder den Marktplatz zurücklassen. Wer Infura entfliehen will, kann bei Ethereum bleiben.
Einen Hinweis darauf gibt ConsenSys selbst in der Datenschutzerklärung: “Wenn Sie jedoch einen eigenen Ethereum-Node oder eine andere Partei als RPC-Anbieter mit MetaMask benutzen, wird weder Infura noch MetaMask Ihre IP-Adressen oder Ethereum-Adressen sammeln (aber Sie sollten sich bewusst sein, dass diese Informationen womöglich von anderen RPC-Anbietern gesammelt werden).”
Nicht MetaMask sammelt die Daten – sondern der RPC-Endpunkt Infura. Das klingt schon mal danach, dass die Daten weniger aus Bösartigkeit, sondern aus Pragmatismus gesammelt werden – und es zeigt, wie man dem entgeht: indem man einen anderen RPC-Endpunkt verwendet.
Ideal wäre es, einen eigenen Node mit MetaMask zu verbinden. Das aber dürfte für die meisten von euch nicht realistisch sein. Daher kommen nur alternative öffentliche RPC-Endpoints in Frage.
Vielversprechend ist hierfür ein Blick auf chainlist.org. Dort findet ihr eine relativ lange Liste mit öffentlich verfügbaren RPC-Endpunkten für Ethereum. In der Liste steht sogar eine Bewertung der Privacy, auch wenn ich empfehlen würde, die Datenschutzerklärung im Einzelfall selbst zu lesen.
Der RPC-Wechsel in MetaMask ist allerdings nicht eben intuitiv. Denn Infura ist hart einprogrammiert. Anstatt die URL zu ändern, muss man in den Einstellungen ein neues Netzwerk mit der Chain-ID 1 einfügen, das man zum Beispiel “ETH” nennt. Einen Guide dazu findet ihr ebenfalls bei Chainlist.
Diese Lösung ist bequem: Der Aufwand ist gering, ihr müsst keine neue Software installieren, ihr behaltet eure Accounts und Adressen, die Wallet kennt eure Token, und ihr könnt das Web3 mit dem gewohnten Workflow weiter verwenden. Es wäre aber zu empfehlen, neue Adressen zu verwenden, die Infura noch nicht kennt.
Alternative Wallets
Eine andere Lösung wäre es, einfach eine andere Wallet zu verwenden. Das ist für euch disruptiver, aber auch interessanter, und womöglich nachhaltiger.
Auch hierfür gibt es mittlerweile eine reiche Auswahl. Ein Klassiker ist die MyEtherWallet (MEW), die es entweder fürs Smartphone gibt oder mit Enkrypt für den Browser. MEW erklärt explizit, dass sie keine Daten sammeln. Gute Erfahrungen habe ich auch mit der AlphaWallet gemacht, wobei ich hier wenig über den Datenschutz weiß.
Daneben bieten sich zahlreiche weitere Wallets an: Etwa Rabby, XDEFI, Blockwallet, Frame, Tally Ho und Trust Wallet. Diese Wallets gibt es in der Regel als App fürs Smartphone oder als Plugin für den Browser, und sie erlauben es, über die eine oder andere Methode die üblichen Web3-Apps zu benutzen.
Ich kenne nicht bei jeder den Umgang mit privaten Daten. Blockwallet wirbt damit, einen Privacy Proxy zwischen User und Node zu setzen, Frame wirbt mit dem Fokus auf Privatsphäre, Tally Ho teilt auf Twitter die Empörung über Infura so emsig, dass es angemessen wäre, den Datenschutz mehr zu respektieren, und XDEFI wird von Eric Vorhees als Alternative empfohlen, was ebenfalls für mehr Datenschutz spricht.
Es gibt also mehr als genügend Wallets, die MetaMask und damit Infura ersetzen können. Der Datenschutz-Skandal ist eine gute Gelegenheit, diese kennenzulernen.
Aber ansonsten ist Ethirium ganz gut.
Weiß jemand etwas über die Vor- und Nachteile des Brave-Wallet (im Browser integriert)?
Also ich benutze Blockwallet und muss sagen ich bin wirklich überrascht wie gut die Wallet funktioniert. Ich bin raus MM ist für mich gestorben!
Ich würde mal behaupten das fast jede Webwallet IP Adressen (oder alternativ pseudonymisierte Session IDs) speichern kann und diese alleine schon aus Wartungsgründen auch tut (falls nicht explizit in der AGB ausgeschlossen).
Interessant fände ich da auch mal Datenschutzerklärungen von Hardwarewallets wie Trezor oder Ledger auf den Aspekt hin zu untersuchen.
Man kommt bei Verwendung exotischerer Coins dort kaum drumrum auch deren dazugehörige webbasierte Wallets zu verwenden, und verknüpft ggfls. gleich auch seine Bitcoinadressen mit der IP. Praktischerweise wird in der Anbieterwallet der Betrag aller Coins in der Übersicht zusammen dargestellt (und ermittelt).
Leider gibt es die meisten Anleitungen zur MetaMask. Vielleicht ändert sich das in der nächsten Zeit?